|
เปลี่ยนวันที่ |
เปลี่ยนคําอธิบาย |
|
วันที่ 19 กรกฎาคม 2566 |
|
|
วันที่ 8 สิงหาคม 2566 |
|
|
วันที่ 9 สิงหาคม 2566 |
|
|
9 เมษายน 2024 |
|
|
วันที่ 16 เมษายน 2024 |
|
บทสรุป
บทความนี้จะให้คําแนะนําสําหรับช่องโหว่ที่อาศัยสถาปัตยกรรมไมโครแบบซิลิคอนแบบคลาสใหม่และช่องโหว่ที่อาศัยผลข้างเคียงจากการดําเนินการแบบคาดการณ์ที่มีผลต่อตัวประมวลผลและระบบปฏิบัติการที่ทันสมัยจํานวนมาก ซึ่งรวมถึง Intel, AMD และ ARM รายละเอียดเฉพาะสําหรับช่องโหว่ที่ใช้ซิลิคอนเหล่านี้สามารถพบได้ใน ADVs (คําแนะนําด้านความปลอดภัย) และ CVEs (ช่องโหว่และความเสี่ยงทั่วไป):
-
ADV180002 | คําแนะนําเพื่อลดช่องโหว่ที่อาศัยผลข้างเคียงจากการดําเนินการแบบคาดการณ์
-
ADV180012 | คําแนะนําของ Microsoft สําหรับการเลี่ยงผ่าน Store แบบคาดการณ์
-
ADV180013 | อ่านคําแนะนําจาก Microsoft สําหรับการลงทะเบียนระบบ Rogue
-
ADV180016 | คําแนะนําของ Microsoft สําหรับการคืนค่าสถานะ Lazy FP
-
ADV190013 | คําแนะนําของ Microsoft ในการลดช่องโหว่การสุ่มตัวอย่างข้อมูลสถาปัตยกรรมไมโคร
-
ADV220002 | คําแนะนําของ Microsoft เกี่ยวกับช่องโหว่ของ Intel Processor MMIO ข้อมูลลวงตา
สิ่งสำคัญ: ปัญหานี้ยังมีผลต่อระบบปฏิบัติการอื่นๆ เช่น Android, Chrome, iOS และ macOS ดังนั้นเราขอแนะนําให้ลูกค้าขอคําแนะนําจากผู้ขายเหล่านั้น
เราได้เผยแพร่การอัปเดตหลายอย่างเพื่อช่วยบรรเทาช่องโหว่เหล่านี้ นอกจากนี้ เรายังได้ดําเนินการเพื่อรักษาความปลอดภัยให้กับบริการระบบคลาวด์ของเราอีกด้วย ดูส่วนต่อไปนี้สําหรับรายละเอียดเพิ่มเติม
เรายังไม่ได้รับข้อมูลใดๆ เพื่อระบุว่าช่องโหว่เหล่านี้ถูกใช้เพื่อโจมตีลูกค้า เรากําลังทํางานอย่างใกล้ชิดกับคู่ค้าในอุตสาหกรรม รวมถึงผู้ผลิตชิป OEM ฮาร์ดแวร์ และผู้จําหน่ายแอปพลิเคชันเพื่อปกป้องลูกค้า หากต้องการรับการป้องกันที่พร้อมใช้งานทั้งหมด จําเป็นต้องอัปเดตเฟิร์มแวร์ (microcode) และซอฟต์แวร์ ซึ่งรวมถึง Microcode จาก OEM ของอุปกรณ์ และในบางกรณีจะมีการอัปเดตซอฟต์แวร์ป้องกันไวรัส
บทความนี้ระบุถึงช่องโหว่ต่อไปนี้:
นอกจากนี้ Windows Update ยังมีการบรรเทาจาก Internet Explorer และ Edge อีกด้วย เราจะปรับปรุงการบรรเทาปัญหาเหล่านี้ต่อช่องโหว่ประเภทนี้ต่อไป
เมื่อต้องการเรียนรู้เพิ่มเติมเกี่ยวกับช่องโหว่ประเภทนี้ โปรดดูต่อไปนี้:
ช่อง โหว่
ในวันที่ 14 พฤษภาคม 2019 Intel ได้เผยแพร่ข้อมูลเกี่ยวกับคลาสย่อยใหม่ของช่องโหว่ที่อาศัยผลข้างเคียงจากการดําเนินการแบบคาดการณ์ที่เรียกว่าการสุ่มตัวอย่างข้อมูลสถาปัตยกรรมขนาดเล็ก ช่องโหว่เหล่านี้ได้รับการแก้ไขแล้วใน CVEs ต่อไปนี้:
-
CVE-2019-11091 | CVE Microarchitectural Data Sampling Uncacheable Memory (MDSUM)
-
CVE-2018-12126 | CVE-2018 การสุ่มตัวอย่างข้อมูลบัฟเฟอร์ของที่เก็บ Microarchitectural (MSBDS)
-
CVE-2018-12127 | CVE การสุ่มตัวอย่างข้อมูลบัฟเฟอร์การเติมแบบ Microarchitectural (MFBDS)
-
CVE-2018-12130 | CVE การสุ่มตัวอย่างข้อมูลพอร์ตโหลดแบบไมโครเก็บถาวร (MLPDS)
สิ่งสำคัญ: ปัญหาเหล่านี้จะส่งผลต่อระบบปฏิบัติการอื่นๆ เช่น Android, Chrome, iOS และ MacOS เราขอแนะนําให้คุณขอคําแนะนําจากผู้ขายที่เกี่ยวข้องเหล่านี้
เราได้เผยแพร่การอัปเดตเพื่อช่วยลดช่องโหว่เหล่านี้ หากต้องการรับการป้องกันที่พร้อมใช้งานทั้งหมด จําเป็นต้องอัปเดตเฟิร์มแวร์ (microcode) และซอฟต์แวร์ ซึ่งอาจรวมถึง Microcode จาก OEM ของอุปกรณ์ ในบางกรณี การติดตั้งการอัปเดตเหล่านี้จะมีผลต่อประสิทธิภาพการทํางาน นอกจากนี้ เรายังได้ดําเนินการเพื่อรักษาความปลอดภัยของบริการระบบคลาวด์ของเราอีกด้วย เราขอแนะนําให้ปรับใช้การอัปเดตเหล่านี้
สําหรับข้อมูลเพิ่มเติมเกี่ยวกับปัญหานี้ ดูคําแนะนําด้านความปลอดภัยต่อไปนี้และใช้คําแนะนําตามสถานการณ์สมมติเพื่อระบุการดําเนินการที่จําเป็นเพื่อลดภัยคุกคาม:
-
ADV190013 | คําแนะนําของ Microsoft ในการลดช่องโหว่การสุ่มตัวอย่างข้อมูลสถาปัตยกรรมไมโคร
-
คําแนะนําสําหรับ Windows เพื่อป้องกันช่องโหว่ที่อาศัยผลข้างเคียงจากการดําเนินการแบบคาดการณ์
หมายเหตุ: เราขอแนะนําให้คุณติดตั้งการอัปเดตล่าสุดทั้งหมดจาก Windows Update ก่อนที่คุณจะติดตั้งการอัปเดต Microcode ใดๆ
ในวันที่ 6 สิงหาคม 2019 Intel ได้เผยแพร่รายละเอียดเกี่ยวกับช่องโหว่การเปิดเผยข้อมูลเคอร์เนลของ Windows ช่องโหว่นี้เป็นตัวแปรของช่องโหว่ที่อาศัยผลข้างเคียงจากการดําเนินการแบบคาดการณ์ Spectre ตัวแปรที่ 1 และได้รับการกําหนด CVE-2019-1125
เมื่อวันที่ 9 กรกฎาคม 2019 เราได้เผยแพร่การอัปเดตความปลอดภัยสําหรับระบบปฏิบัติการ Windows เพื่อช่วยบรรเทาปัญหานี้ โปรดทราบว่าเราได้จัดเอกสารฉบับนี้ต่อสาธารณชนจนกว่าการเปิดเผยอุตสาหกรรมประสานงานในวันอังคารที่ 6 สิงหาคม 2019
ลูกค้าที่เปิดใช้งาน Windows Update และใช้การอัปเดตความปลอดภัยที่เผยแพร่ในวันที่ 9 กรกฎาคม 2019 จะได้รับการป้องกันโดยอัตโนมัติ ไม่มีการกําหนดค่าเพิ่มเติมที่จําเป็น
หมายเหตุ: ช่องโหว่นี้ไม่จําเป็นต้องมีการอัปเดต Microcode จากผู้ผลิตอุปกรณ์ของคุณ (OEM)
สําหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่นี้และการอัปเดตที่เกี่ยวข้อง โปรดดู คู่มือการอัปเดตความปลอดภัย Microsoft:
ในวันที่ 12 พฤศจิกายน 2019 Intel ได้เผยแพร่คําแนะนําทางเทคนิคเกี่ยวกับช่องโหว่ Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort ที่กําหนด CVE-2019-11135 เราได้เผยแพร่การอัปเดตเพื่อช่วยลดช่องโหว่นี้ ตามค่าเริ่มต้น การป้องกันระบบปฏิบัติการจะเปิดใช้งานสําหรับ Windows Client รุ่น OS
เมื่อวันที่ 14 มิถุนายน 2022 เราได้เผยแพร่ ADV220002 คําแนะนําของ Microsoft เกี่ยวกับช่องโหว่ของข้อมูล MMIO ที่ล็อตตัวประมวลผล Intel ช่องโหว่ได้รับการกําหนดใน CVEs ต่อไปนี้:
-
CVE-2022-21123 | CVE การอ่านข้อมูลบัฟเฟอร์ที่ใช้ร่วมกัน (SBDR)
-
CVE-2022-21125 | CVE การสุ่มตัวอย่างข้อมูลบัฟเฟอร์ที่ใช้ร่วมกัน (SBDS)
-
CVE-2022-21127 | CVE การอัปเดตการสุ่มตัวอย่างข้อมูลบัฟเฟอร์การลงทะเบียนพิเศษ (การอัปเดต SRBDS)
การดำเนินการที่แนะนำ
คุณควรดําเนินการต่อไปนี้เพื่อป้องกันช่องโหว่เหล่านี้:
-
ใช้การอัปเดตระบบปฏิบัติการ Windows ที่พร้อมใช้งานทั้งหมด รวมถึงการอัปเดตความปลอดภัยของ Windows รายเดือน
-
ใช้การอัปเดตเฟิร์มแวร์ (microcode) ที่เกี่ยวข้องที่ได้รับจากผู้ผลิตอุปกรณ์
-
ประเมินความเสี่ยงต่อสภาพแวดล้อมของคุณตามข้อมูลที่ระบุในคําแนะนําด้านความปลอดภัยของ Microsoft ADV180002ADV180012ADV190013 และ ADV220002นอกเหนือจากข้อมูลที่ระบุไว้ในบทความนี้
-
ดําเนินการตามที่จําเป็นโดยใช้คําแนะนําและข้อมูลรีจิสทรีคีย์ที่มีอยู่ในบทความนี้
หมายเหตุ: ลูกค้า Surface จะได้รับการอัปเดต Microcode ผ่านทาง Windows Update สําหรับรายการการอัปเดตเฟิร์มแวร์อุปกรณ์ Surface (microcode) ล่าสุดที่พร้อมใช้งาน โปรดดูที่ KB4073065
เมื่อวันที่ 12 กรกฎาคม 2022 เราได้เผยแพร่ CVE-2022-23825 | AMD CPU Branch Type Confusion ซึ่งอธิบายว่านามแฝงในตัวคาดเดาสาขาอาจทําให้ตัวประมวลผล AMD บางตัวคาดการณ์ชนิดของสาขาที่ไม่ถูกต้อง ปัญหานี้อาจนําไปสู่การเปิดเผยข้อมูล
เพื่อช่วยป้องกันช่องโหว่นี้ เราขอแนะนําให้ติดตั้งการอัปเดต Windows ที่ลงวันที่หรือหลังจากเดือนกรกฎาคม 2022 แล้วดําเนินการตามที่จําเป็นโดย CVE-2022-23825 และข้อมูลรีจิสทรีคีย์ที่มีอยู่ในบทความฐานความรู้นี้
สําหรับข้อมูลเพิ่มเติม โปรดดูประกาศด้านความปลอดภัยของ AMD-SB-1037
เมื่อวันที่ 8 สิงหาคม 2023 เราได้เผยแพร่ CVE-2023-20569 | AMD CPU Return Address Predictor (หรือที่เรียกว่า Inception) ซึ่งอธิบายการโจมตีช่องทางด้านข้างแบบคาดการณ์ใหม่ที่สามารถส่งผลให้เกิดการดําเนินการแบบคาดการณ์ได้ที่ที่อยู่ที่ควบคุมโดยผู้โจมตี ปัญหานี้มีผลต่อตัวประมวลผล AMD บางตัว และอาจนําไปสู่การเปิดเผยข้อมูล
เพื่อช่วยป้องกันช่องโหว่นี้ เราขอแนะนําให้ติดตั้งการอัปเดต Windows ที่ลงวันที่หรือหลังจากเดือนสิงหาคม 2023 แล้วดําเนินการตามที่จําเป็นโดย CVE-2023-20569 และข้อมูลรีจิสทรีคีย์ที่มีอยู่ในบทความฐานความรู้นี้
สําหรับข้อมูลเพิ่มเติม โปรดดูประกาศด้านความปลอดภัยของ AMD-SB-7005
เมื่อวันที่ 9 เมษายน 2024 เราได้เผยแพร่ CVE-2022-0001 | การฉีดประวัติสาขาของ Intel ซึ่งอธิบายการฉีดประวัติสาขา (BHI) ซึ่งเป็นรูปแบบเฉพาะของ BTI ภายในโหมด ช่องโหว่นี้เกิดขึ้นเมื่อผู้โจมตีอาจจัดการประวัติสาขาก่อนที่จะเปลี่ยนจากผู้ใช้เป็นโหมดผู้ดูแล (หรือจากโหมดที่ไม่ใช่ราก/ผู้เยี่ยมชม VMX ไปเป็นโหมดราก) การจัดการนี้อาจทําให้ตัวทํานายสาขาทางอ้อมเลือกรายการตัวทํานายเฉพาะสําหรับสาขาทางอ้อม และโปรแกรมเบ็ดเตล็ดการเปิดเผยที่เป้าหมายที่ทํานายจะดําเนินการแบบชั่วคราว ซึ่งอาจเป็นไปได้เนื่องจากประวัติสาขาที่เกี่ยวข้องอาจมีสาขาที่นํามาในบริบทความปลอดภัยก่อนหน้านี้ และโดยเฉพาะอย่างยิ่ง โหมดตัวคาดเดาอื่นๆ
การตั้งค่าการลดปัญหาสําหรับไคลเอ็นต์ Windows
คําแนะนําด้านความปลอดภัย (ADVs) และ CVEs จะให้ข้อมูลเกี่ยวกับความเสี่ยงที่เกิดจากช่องโหว่เหล่านี้ และวิธีที่ช่องโหว่เหล่านี้ช่วยคุณระบุสถานะการแก้ไขเริ่มต้นสําหรับระบบไคลเอ็นต์ Windows ตารางต่อไปนี้สรุปความต้องการของ Microcode ของ CPU และสถานะเริ่มต้นของการลดปัญหาในไคลเอ็นต์ Windows
|
CVE |
จําเป็นต้องมี MICROCODE/เฟิร์มแวร์ CPU หรือไม่ |
สถานะค่าเริ่มต้นของการลดปัญหา |
|---|---|---|
|
CVE-2017-5753 |
ไม่ใช่ |
เปิดใช้งานตามค่าเริ่มต้น (ไม่มีตัวเลือกสําหรับปิดใช้งาน) |
|
CVE-2017-5715 |
ใช่ |
เปิดใช้งานตามค่าเริ่มต้น ผู้ใช้ที่ใช้ตัวประมวลผล AMD ควรเห็น คําถามที่ถามบ่อย #15 และผู้ใช้ตัวประมวลผล ARM ควรดู คําถามที่ถามบ่อย #20 เกี่ยวกับ ADV180002 สําหรับการดําเนินการเพิ่มเติมและบทความ KB นี้สําหรับการตั้งค่ารีจิสทรีคีย์ที่เกี่ยวข้อง หมายเหตุ ตามค่าเริ่มต้น Retpoline จะเปิดใช้งานสําหรับอุปกรณ์ที่ใช้ Windows 10 เวอร์ชัน 1809 หรือใหม่กว่า ถ้าเปิดใช้งาน Spectre ตัวแปรที่ 2 (CVE-2017-5715) สําหรับข้อมูลเพิ่มเติม เกี่ยวกับ Retpoline ทําตามคําแนะนําใน การลด Spectre ตัวแปรที่ 2 ด้วย Retpoline ในบล็อกโพสต์ของ Windows |
|
CVE-2017-5754 |
ไม่ใช่ |
เปิดใช้งานตามค่าเริ่มต้น |
|
CVE-2018-3639 |
Intel: ใช่ AMD: ไม่ใช่ ARM: ใช่ |
Intel และ AMD: ปิดใช้งานตามค่าเริ่มต้น ดู ADV180012 สําหรับข้อมูลเพิ่มเติมและบทความ KB นี้สําหรับการตั้งค่ารีจิสทรีคีย์ที่เกี่ยวข้อง ARM: เปิดใช้งานตามค่าเริ่มต้นโดยไม่มีตัวเลือกในการปิดใช้งาน |
|
CVE-2019-11091 |
Intel: ใช่ |
เปิดใช้งานตามค่าเริ่มต้น ดู ADV190013 สําหรับข้อมูลเพิ่มเติมและบทความนี้สําหรับการตั้งค่ารีจิสทรีคีย์ที่สามารถใช้ได้ |
|
CVE-2018-12126 |
Intel: ใช่ |
เปิดใช้งานตามค่าเริ่มต้น ดู ADV190013 สําหรับข้อมูลเพิ่มเติมและบทความนี้สําหรับการตั้งค่ารีจิสทรีคีย์ที่สามารถใช้ได้ |
|
CVE-2018-12127 |
Intel: ใช่ |
เปิดใช้งานตามค่าเริ่มต้น ดู ADV190013 สําหรับข้อมูลเพิ่มเติมและบทความนี้สําหรับการตั้งค่ารีจิสทรีคีย์ที่สามารถใช้ได้ |
|
CVE-2018-12130 |
Intel: ใช่ |
เปิดใช้งานตามค่าเริ่มต้น ดู ADV190013 สําหรับข้อมูลเพิ่มเติมและบทความนี้สําหรับการตั้งค่ารีจิสทรีคีย์ที่สามารถใช้ได้ |
|
CVE-2019-11135 |
Intel: ใช่ |
เปิดใช้งานตามค่าเริ่มต้น ดู CVE-2019-11135 สําหรับข้อมูลเพิ่มเติมและบทความนี้สําหรับการตั้งค่ารีจิสทรีคีย์ที่เกี่ยวข้อง |
|
CVE-2022-21123 (ส่วนของ MMIO ADV220002) |
Intel: ใช่ |
Windows 10 เวอร์ชัน 1809 และใหม่กว่า: เปิดใช้งานตามค่าเริ่มต้น Windows 10 เวอร์ชัน 1607 และเวอร์ชันก่อนหน้า: ปิดใช้งานตามค่าเริ่มต้น ดู CVE-2022-21123 สําหรับข้อมูลเพิ่มเติมและบทความนี้สําหรับการตั้งค่ารีจิสทรีคีย์ที่เกี่ยวข้อง |
|
CVE-2022-21125 (ส่วนของ MMIO ADV220002) |
Intel: ใช่ |
Windows 10 เวอร์ชัน 1809 และใหม่กว่า: เปิดใช้งานตามค่าเริ่มต้น Windows 10 เวอร์ชัน 1607 และเวอร์ชันก่อนหน้า: ปิดใช้งานตามค่าเริ่มต้น ดู CVE-2022-21125 สําหรับข้อมูลเพิ่มเติม |
|
CVE-2022-21127 (ส่วนของ MMIO ADV220002) |
Intel: ใช่ |
Windows 10 เวอร์ชัน 1809 และใหม่กว่า: เปิดใช้งานตามค่าเริ่มต้น Windows 10 เวอร์ชัน 1607 และเวอร์ชันก่อนหน้า: ปิดใช้งานตามค่าเริ่มต้น ดู CVE-2022-21127 สําหรับข้อมูลเพิ่มเติม |
|
CVE-2022-21166 (ส่วนของ MMIO ADV220002) |
Intel: ใช่ |
Windows 10 เวอร์ชัน 1809 และใหม่กว่า: เปิดใช้งานตามค่าเริ่มต้น Windows 10 เวอร์ชัน 1607 และเวอร์ชันก่อนหน้า: ปิดใช้งานตามค่าเริ่มต้น ดู CVE-2022-21166 สําหรับข้อมูลเพิ่มเติม |
|
CVE-2022-23825 (AMD CPU Branch Type Confusion) |
AMD: ไม่ใช่ |
ดู CVE-2022-23825 สําหรับข้อมูลเพิ่มเติมและบทความนี้สําหรับการตั้งค่ารีจิสทรีคีย์ที่เกี่ยวข้อง |
|
CVE-2023-20569 (AMD CPU Return Address Predictor) |
AMD: ใช่ |
ดู CVE-2023-20569 สําหรับข้อมูลเพิ่มเติมและบทความนี้สําหรับการตั้งค่ารีจิสทรีคีย์ที่เกี่ยวข้อง |
|
Intel: No |
ปิดใช้งานตามค่าเริ่มต้น ดู CVE-2022-0001 สําหรับข้อมูลเพิ่มเติมและบทความนี้สําหรับการตั้งค่ารีจิสทรีคีย์ที่สามารถใช้ได้ |
หมายเหตุ: ตามค่าเริ่มต้น การเปิดใช้งานการลดปัญหาที่ปิดอยู่อาจส่งผลต่อประสิทธิภาพของอุปกรณ์ ผลกระทบด้านประสิทธิภาพจริงขึ้นอยู่กับหลายปัจจัย เช่น ชิปเซ็ตเฉพาะในอุปกรณ์และปริมาณงานที่กําลังทํางานอยู่
การตั้งค่ารีจิสทรี
เรามีข้อมูลรีจิสทรีต่อไปนี้เพื่อเปิดใช้งานการแก้ไขที่ไม่ได้เปิดใช้งานตามค่าเริ่มต้น ตามที่ระบุไว้ในคําแนะนําด้านความปลอดภัย (ADVs) และ CVEs นอกจากนี้ เรายังมีการตั้งค่ารีจิสทรีคีย์สําหรับผู้ใช้ที่ต้องการปิดใช้งานการแก้ไขเมื่อสามารถใช้ได้กับไคลเอ็นต์ Windows
สิ่งสำคัญ: ส่วน วิธีการ หรืองานนี้ประกอบด้วยขั้นตอนที่บอกให้คุณทราบถึงวิธีการปรับเปลี่ยนรีจิสทรี อย่างไรก็ตาม ปัญหาร้ายแรงอาจเกิดขึ้นถ้าคุณปรับเปลี่ยนรีจิสทรีอย่างไม่ถูกต้อง ดังนั้นตรวจสอบให้แน่ใจว่าคุณทําตามขั้นตอนเหล่านี้อย่างระมัดระวัง สําหรับการป้องกันเพิ่มเติม ให้สํารองข้อมูลรีจิสทรีก่อนที่คุณจะปรับเปลี่ยน จากนั้นคุณสามารถคืนค่ารีจิสทรีได้หากมีปัญหาเกิดขึ้น สําหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการสํารองและคืนค่ารีจิสทรี โปรดดูบทความต่อไปนี้ใน Microsoft Knowledge Base:322756 วิธีการสํารองข้อมูลและคืนค่ารีจิสทรีใน Windows
สิ่งสำคัญ: ตามค่าเริ่มต้น Retpoline จะเปิดใช้งานบนอุปกรณ์ Windows 10 เวอร์ชัน 1809 ถ้าเปิดใช้งาน Spectre, Variant 2 (CVE-2017-5715) การเปิดใช้งาน Retpoline บน Windows 10 เวอร์ชันล่าสุดอาจเพิ่มประสิทธิภาพบนอุปกรณ์ที่ใช้ Windows 10 เวอร์ชัน 1809 สําหรับ Spectre ตัวแปรที่ 2 โดยเฉพาะอย่างยิ่งบนตัวประมวลผลรุ่นเก่า
|
เมื่อต้องการเปิดใช้งานการบรรเทาเริ่มต้นสําหรับ CVE-2017-5715 (Spectre Variant 2) และ CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f รีสตาร์ตอุปกรณ์เพื่อให้การเปลี่ยนแปลงมีผล เมื่อต้องการปิดใช้งานการลดปัญหาสําหรับ CVE-2017-5715 (Spectre Variant 2) และ CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f รีสตาร์ตอุปกรณ์เพื่อให้การเปลี่ยนแปลงมีผล |
หมายเหตุ: ค่า 3 ถูกต้องสําหรับ FeatureSettingsOverrideMask สําหรับการตั้งค่า "enable" และ "disable" (ดูส่วน "คําถามที่ถามบ่อย" เพื่อดูรายละเอียดเพิ่มเติมเกี่ยวกับรีจิสทรีคีย์)
|
เมื่อต้องการปิดใช้งาน การลดปัญหาสําหรับ CVE-2017-5715 (Spectre Variant 2) : reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f รีสตาร์ตอุปกรณ์เพื่อให้การเปลี่ยนแปลงมีผล เมื่อต้องการเปิดใช้งาน การบรรเทาเริ่มต้นสําหรับ CVE-2017-5715 (Spectre Variant 2) และ CVE-2017-5754 (Meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f รีสตาร์ตอุปกรณ์เพื่อให้การเปลี่ยนแปลงมีผล |
ตามค่าเริ่มต้น การป้องกันผู้ใช้ถึงเคอร์เนลสําหรับ CVE-2017-5715 จะถูกปิดใช้งานสําหรับ AMD และ CPU ARM คุณต้องเปิดใช้งานการบรรเทาเพื่อรับการป้องกันเพิ่มเติมสําหรับ CVE-2017-5715 ดูข้อมูลเพิ่มเติมได้ที่ คําถามที่ถามบ่อย #15 ใน ADV180002 สําหรับตัวประมวลผล AMD และ คําถามที่ถามบ่อย #20 ใน ADV180002 สําหรับตัวประมวลผล ARM
|
เปิดใช้งานการป้องกันผู้ใช้ไปยังเคอร์เนลในตัวประมวลผล AMD และ ARM ร่วมกับการป้องกันอื่นๆ สําหรับ CVE 2017-5715: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f รีสตาร์ตอุปกรณ์เพื่อให้การเปลี่ยนแปลงมีผล |
|
เมื่อต้องการเปิดใช้งานการบรรเทาสําหรับ CVE-2018-3639 (Speculative Store Bypass) การลดปัญหาเริ่มต้นสําหรับ CVE-2017-5715 (Spectre Variant 2) และ CVE-2017-5754 (Meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f รีสตาร์ตอุปกรณ์เพื่อให้การเปลี่ยนแปลงมีผล หมายเหตุ: ตัวประมวลผล AMD ไม่เสี่ยงต่อ CVE-2017-5754 (Meltdown) รีจิสทรีคีย์นี้ใช้ในระบบที่มีตัวประมวลผล AMD เพื่อเปิดใช้งานการแก้ไขเริ่มต้นสําหรับ CVE-2017-5715 ในตัวประมวลผล AMD และการลดปัญหาสําหรับ CVE-2018-3639 หากต้องการปิดใช้งานการลดปัญหาสําหรับ CVE-2018-3639 (Speculative Store Bypass) *และ* การลดสําหรับ CVE-2017-5715 (Spectre Variant 2) และ CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f รีสตาร์ตอุปกรณ์เพื่อให้การเปลี่ยนแปลงมีผล |
ตามค่าเริ่มต้น การป้องกันผู้ใช้ถึงเคอร์เนลสําหรับ CVE-2017-5715 จะถูกปิดใช้งานสําหรับตัวประมวลผล AMD ลูกค้าต้องเปิดใช้งานการบรรเทาเพื่อรับการป้องกันเพิ่มเติมสําหรับ CVE-2017-5715 ดูข้อมูลเพิ่มเติมได้ที่ คําถามที่ถามบ่อย #15 ใน ADV180002
|
เปิดใช้งานการป้องกันผู้ใช้ไปยังเคอร์เนลในตัวประมวลผล AMD ร่วมกับการป้องกันอื่นๆ สําหรับ CVE 2017-5715 และการป้องกันสําหรับ CVE-2018-3639 (Speculative Store Bypass): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f รีสตาร์ตอุปกรณ์เพื่อให้การเปลี่ยนแปลงมีผล |
|
เมื่อต้องการเปิดใช้งานการลดช่องโหว่ Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort (CVE-2019-11135) และการสุ่มตัวอย่างข้อมูลสถาปัตยกรรมขนาดเล็ก ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) พร้อมด้วย Spectre (CVE-2017-5753 & CVE-2017-5715) และ Meltdown (CVE-2017-5754) รวมถึง Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) ตลอดจน L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 และ CVE-2018-3646) โดยไม่ต้องปิดใช้งานไฮเปอร์เธรดดิ้ง: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f หากมีการติดตั้งคุณลักษณะ Hyper-V ให้เพิ่มการตั้งค่ารีจิสทรีต่อไปนี้: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f หากนี่คือโฮสต์ Hyper-V และมีการนําการอัปเดตเฟิร์มแวร์ไปใช้: ปิดเครื่องเสมือนทั้งหมด ซึ่งจะทําให้สามารถนําการแก้ไขที่เกี่ยวข้องกับเฟิร์มแวร์ไปใช้กับโฮสต์ก่อนเริ่ม VM ดังนั้น VM จะได้รับการอัปเดตเมื่อรีสตาร์ต รีสตาร์ตอุปกรณ์เพื่อให้การเปลี่ยนแปลงมีผล To enable mitigations for Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646) เมื่อปิดใช้งาน Hyper-Threading: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f หากมีการติดตั้งคุณลักษณะ Hyper-V ให้เพิ่มการตั้งค่ารีจิสทรีต่อไปนี้: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f หากนี่คือโฮสต์ Hyper-V และมีการนําการอัปเดตเฟิร์มแวร์ไปใช้: ปิดเครื่องเสมือนทั้งหมด ซึ่งจะทําให้สามารถนําการแก้ไขที่เกี่ยวข้องกับเฟิร์มแวร์ไปใช้กับโฮสต์ก่อนเริ่ม VM ดังนั้น VM จะได้รับการอัปเดตเมื่อรีสตาร์ต รีสตาร์ตอุปกรณ์เพื่อให้การเปลี่ยนแปลงมีผล To disable mitigations for Intel® Transactional Synchronization Extensions (Intel® TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f รีสตาร์ตอุปกรณ์เพื่อให้การเปลี่ยนแปลงมีผล |
เมื่อต้องการเปิดใช้งานการลดปัญหาสําหรับ CVE-2022-23825 บนตัวประมวลผล AMD :
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
เพื่อให้ได้รับการปกป้องอย่างเต็มรูปแบบ ลูกค้าอาจจําเป็นต้องปิดใช้งาน Hyper-Threading (หรือที่เรียกว่า Simultaneous Multi Threading (SMT)) โปรดดู KB4073757สําหรับคําแนะนําเกี่ยวกับการปกป้องอุปกรณ์ Windows
เมื่อต้องการเปิดใช้งานการลดปัญหาสําหรับ CVE-2023-20569 บนตัวประมวลผล AMD:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
เมื่อต้องการเปิดใช้งานการลดสําหรับ CVE-2022-0001 บนตัวประมวลผล Intel:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f
การเปิดใช้งานการบรรเทาหลายรายการ
เมื่อต้องการเปิดใช้งานการบรรเทาหลายรายการ คุณต้องเพิ่มค่า REG_DWORD ของการบรรเทาแต่ละรายการพร้อมกัน
ตัวอย่างเช่น:
|
การลดช่องโหว่ Transaction Asynchronous Abort, การสุ่มตัวอย่างข้อมูล Microarchitectural, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD) และ L1 Terminal Fault (L1TF) ที่ปิดใช้งาน Hyper-Threading |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f |
|
NOTE 8264 (เป็นทศนิยม) = 0x2048 (ในฐานสิบหก) เมื่อต้องการเปิดใช้งาน BHI พร้อมกับการตั้งค่าอื่นๆ ที่มีอยู่ คุณจะต้องใช้ BITWISE OR ของค่าปัจจุบันกับ 8,388,608 (0x800000) 0x800000 OR 0x2048(8264 เป็นทศนิยม) และจะกลายเป็น 8,396,872 (0x802048) เหมือนกับ FeatureSettingsOverrideMask |
|
|
การลดปัญหาสําหรับ CVE-2022-0001 บนตัวประมวลผล Intel |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f |
|
การบรรเทารวม |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f |
|
การลดช่องโหว่ Transaction Asynchronous Abort, การสุ่มตัวอย่างข้อมูล Microarchitectural, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD) และ L1 Terminal Fault (L1TF) ที่ปิดใช้งาน Hyper-Threading |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f" |
|
การลดปัญหาสําหรับ CVE-2022-0001 บนตัวประมวลผล Intel |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
|
การบรรเทารวม |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
ตรวจสอบว่ามีการเปิดใช้งานการป้องกันแล้ว
เพื่อช่วยตรวจสอบว่ามีการเปิดใช้งานการป้องกัน เราได้เผยแพร่สคริปต์ PowerShell ที่คุณสามารถเรียกใช้บนอุปกรณ์ของคุณได้ ติดตั้งและเรียกใช้สคริปต์โดยใช้วิธีใดวิธีหนึ่งต่อไปนี้
|
ติดตั้งโมดูล PowerShell: PS> Install-Module SpeculationControl เรียกใช้โมดูล PowerShell เพื่อตรวจสอบว่ามีการเปิดใช้งานการป้องกัน: PS> # บันทึกนโยบายการดําเนินการปัจจุบันเพื่อให้สามารถรีเซ็ตได้ > $SaveExecutionPolicy PS = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl > Get-SpeculationControlSettings PS PS> # รีเซ็ตนโยบายการดําเนินการเป็นสถานะเดิม PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
|
ติดตั้งโมดูล PowerShell จาก Technet ScriptCenter: ไปที่ https://aka.ms/SpeculationControlPS ดาวน์โหลด SpeculationControl.zip ลงในโฟลเดอร์ภายในเครื่อง แยกเนื้อหาไปยังโฟลเดอร์ภายในเครื่อง ตัวอย่างเช่น C:\ADV180002 เรียกใช้โมดูล PowerShell เพื่อตรวจสอบว่ามีการเปิดใช้งานการป้องกัน: เริ่ม PowerShell จากนั้น (โดยใช้ตัวอย่างก่อนหน้า) คัดลอกและเรียกใช้คําสั่งต่อไปนี้: PS> # บันทึกนโยบายการดําเนินการปัจจุบันเพื่อให้สามารถรีเซ็ตได้ > $SaveExecutionPolicy PS = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 > Get-SpeculationControlSettings PS PS> # รีเซ็ตนโยบายการดําเนินการเป็นสถานะเดิม PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
สําหรับคําอธิบายโดยละเอียดของผลลัพธ์ของสคริปต์ PowerShell โปรดดูที่ KB4074629
คำถามที่ถามบ่อย
Microcode ส่งผ่านการอัปเดตเฟิร์มแวร์ คุณควรตรวจสอบกับ CPU (ชิปเซ็ต) และผู้ผลิตอุปกรณ์เกี่ยวกับความพร้อมใช้งานของการอัปเดตความปลอดภัยของเฟิร์มแวร์ที่เกี่ยวข้องสําหรับอุปกรณ์เฉพาะ รวมถึง คําแนะนําการแก้ไขรหัส Microcode ของ Intels
การจัดการช่องโหว่ของฮาร์ดแวร์ผ่านการอัปเดตซอฟต์แวร์มีความท้าทายอย่างมาก นอกจากนี้ การบรรเทาระบบปฏิบัติการรุ่นเก่ายังต้องการการเปลี่ยนแปลงทางสถาปัตยกรรมอย่างกว้างขวาง เรากําลังทํางานร่วมกับผู้ผลิตชิปที่ได้รับผลกระทบเพื่อระบุวิธีที่ดีที่สุดในการบรรเทา ซึ่งอาจส่งในการอัปเดตในอนาคต
Updates สําหรับอุปกรณ์ Microsoft Surface จะถูกส่งให้กับลูกค้าผ่านทาง Windows Update พร้อมกับการอัปเดตสําหรับระบบปฏิบัติการ Windows สําหรับรายการการอัปเดตเฟิร์มแวร์อุปกรณ์ Surface (microcode) ที่พร้อมใช้งาน โปรดดูที่ KB4073065
หากอุปกรณ์ของคุณไม่ได้มาจาก Microsoft โปรดใช้เฟิร์มแวร์จากผู้ผลิตอุปกรณ์ สําหรับข้อมูลเพิ่มเติม โปรดติดต่อผู้ผลิตอุปกรณ์ OEM
ในเดือนกุมภาพันธ์และมีนาคม 2018 Microsoft ได้เผยแพร่การป้องกันเพิ่มเติมสําหรับระบบที่ทํางานบน x86 บางระบบ สําหรับข้อมูลเพิ่มเติม โปรดดู KB4073757 และ ADV180002 คําแนะนําด้านความปลอดภัยของ Microsoft
Updates สําหรับ Windows 10 สําหรับ HoloLens พร้อมให้บริการสําหรับลูกค้า HoloLens ผ่านทาง Windows Update
หลังจากใช้การอัปเดตความปลอดภัยของ Windows ประจําเดือนกุมภาพันธ์ 2018 ลูกค้า HoloLens ไม่จําเป็นต้องดําเนินการเพิ่มเติมเพื่ออัปเดตเฟิร์มแวร์อุปกรณ์ การลดปัญหาเหล่านี้จะรวมอยู่ในการเผยแพร่ Windows 10 สําหรับ HoloLens ในอนาคตทั้งหมด
ไม่ได้ การอัปเดตเฉพาะด้านความปลอดภัยไม่ใช่การอัปเดตแบบสะสม ทั้งนี้ขึ้นอยู่กับรุ่นของระบบปฏิบัติการที่คุณกําลังใช้งาน คุณจะต้องติดตั้งการอัปเดตความปลอดภัยเท่านั้นทุกเดือนเพื่อป้องกันช่องโหว่เหล่านี้ ตัวอย่างเช่น หากคุณกําลังใช้งาน Windows 7 สําหรับระบบ 32 บิตบน CPU ของ Intel ที่ได้รับผลกระทบ คุณต้องติดตั้งการอัปเดตความปลอดภัยเท่านั้นทั้งหมด เราขอแนะนําให้ติดตั้งการอัปเดตความปลอดภัยเท่านั้นเหล่านี้ตามลําดับการเผยแพร่
หมายเหตุ คําถามที่ถามบ่อยเวอร์ชันก่อนหน้าระบุอย่างไม่ถูกต้องว่าการอัปเดตเฉพาะด้านความปลอดภัยเดือนกุมภาพันธ์มีการแก้ไขข้อบกพร่องด้านความปลอดภัยที่เผยแพร่ในเดือนมกราคม ในความเป็นจริงมันไม่ได้
ไม่ได้ 4078130 การอัปเดตความปลอดภัยเป็นการแก้ไขเฉพาะเพื่อป้องกันลักษณะการทํางานของระบบที่คาดเดาไม่ได้ ปัญหาด้านประสิทธิภาพ การทํางาน และ/หรือการเริ่มต้นระบบใหม่ที่ไม่คาดคิดหลังจากการติดตั้ง Microcode การใช้การอัปเดตความปลอดภัยประจําเดือนกุมภาพันธ์บนระบบปฏิบัติการไคลเอ็นต์ Windows ช่วยให้สามารถบรรเทาปัญหาทั้งสามอย่างได้
เมื่อเร็วๆ นี้ Intel ได้ประกาศว่าพวกเขาได้ทําการตรวจสอบและเริ่มเผยแพร่ Microcode สําหรับแพลตฟอร์ม CPU ที่ใหม่กว่า Microsoft กําลังทําการอัปเดต Microcode ที่ได้รับการตรวจสอบของ Intel เกี่ยวกับ Spectre ตัวแปรที่ 2 (CVE-2017-5715 "การใส่โค้ดโดยกําหนดสาขา") KB4093836 แสดงรายการบทความใน Knowledge Base เฉพาะตามรุ่นของ Windows แต่ละ KB ประกอบด้วยการอัปเดต Microcode ของ Intel ที่พร้อมใช้งานตาม CPU
ปัญหานี้แก้ไขได้ใน KB4093118
เมื่อเร็วๆ นี้ AMD ได้ประกาศว่าพวกเขาได้เริ่มเผยแพร่ Microcode สําหรับแพลตฟอร์ม CPU ที่ใหม่กว่ารอบ Spectre ตัวแปรที่ 2 (CVE-2017-5715 "การป้อนโค้ดโดยกําหนดสาขา") สําหรับข้อมูลเพิ่มเติม โปรดดู Updates ความปลอดภัยของ AMD และเอกสารขาวของ AMD: คําแนะนําด้านสถาปัตยกรรมเกี่ยวกับ Indirect Branch Control ตัวเลือกเหล่านี้จะพร้อมใช้งานจากช่องสัญญาณเฟิร์มแวร์ OEM
เรากําลังทําการอัปเดต Microcode ที่ได้รับการตรวจสอบของ Intel เกี่ยวกับ Spectre Variant 2 (CVE-2017-5715 "การใส่โค้ดโดยกําหนดสาขา ") เมื่อต้องการรับการอัปเดต Microcode ของ Intel ผ่าน Windows Update ลูกค้าต้องติดตั้ง Microcode ของ Intel บนอุปกรณ์ที่ใช้ระบบปฏิบัติการ Windows 10 ก่อนที่จะอัปเกรดเป็นการปรับปรุง Windows 10 เดือนเมษายน 2561 (เวอร์ชัน 1803)
การอัปเดต Microcode มีให้ใช้งานโดยตรงจากแค็ตตาล็อกหากไม่ได้ติดตั้งการอัปเดตบนอุปกรณ์ก่อนที่จะอัปเกรดระบบปฏิบัติการ Microcode ของ Intel พร้อมใช้งานผ่าน Windows Update, WSUS หรือ Microsoft Update Catalog สําหรับข้อมูลเพิ่มเติมและคําแนะนําในการดาวน์โหลด โปรดดูที่ KB4100347
สําหรับข้อมูลเพิ่มเติม ให้ดูแหล่งข้อมูลต่อไปนี้:
สําหรับรายละเอียด โปรดดูส่วน "การดําเนินการที่แนะนํา" และ "คําถามที่ถามบ่อย" ใน ADV180012 | คําแนะนําของ Microsoft สําหรับการเลี่ยงผ่าน Store แบบคาดการณ์
เพื่อตรวจสอบสถานะของ SSBD สคริปต์ Get-SpeculationControlSettings PowerShell ได้รับการอัปเดตเพื่อตรวจหาตัวประมวลผลที่ได้รับผลกระทบ สถานะของการอัปเดตระบบปฏิบัติการ SSBD และสถานะของ Microcode ตัวประมวลผล ถ้ามี สําหรับข้อมูลเพิ่มเติมและรับสคริปต์ PowerShell โปรดดูที่ KB4074629
ในวันที่ 13 มิถุนายน 2018 ช่องโหว่เพิ่มเติมที่เกี่ยวข้องกับการดําเนินการแบบคาดการณ์ของช่องทางด้านข้าง หรือที่เรียกว่าการคืนค่าสถานะ FP Lazy FP ได้รับการประกาศและกําหนด CVE-2018-3665 ไม่จําเป็นต้องตั้งค่าการกําหนดค่า (รีจิสทรี) สําหรับการคืนค่า FP แบบ Lazy
สําหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่นี้และสําหรับการดําเนินการที่แนะนํา โปรดดูคําแนะนําด้านความปลอดภัย ADV180016 | คําแนะนําของ Microsoft สําหรับการคืนค่าสถานะ Lazy FP
หมายเหตุ: ไม่จําเป็นต้องตั้งค่าการกําหนดค่า (รีจิสทรี) สําหรับการคืนค่า FP แบบ Lazy
Bounds Check Bypass Store (BCBS) ถูกเปิดเผยเมื่อวันที่ 10 กรกฎาคม 2018 และได้รับมอบหมาย CVE-2018-3693 เราพิจารณาว่า BCBS อยู่ในระดับช่องโหว่เดียวกันกับช่องโหว่ขอบเขต ตรวจสอบบายพาส (ตัวแปรที่ 1) ขณะนี้เรายังไม่ทราบถึงอินสแตนซ์ของ BCBS ในซอฟต์แวร์ของเรา แต่เรากําลังดําเนินการค้นคว้าเกี่ยวกับระดับช่องโหว่นี้และจะทํางานร่วมกับคู่ค้าในอุตสาหกรรมเพื่อเผยแพร่การแก้ไขตามที่จําเป็น เรายังคงสนับสนุนให้นักวิจัยส่งผลการค้นหาที่เกี่ยวข้องไปยัง โปรแกรม Speculative Execution Side Channel ของ Microsoft รวมถึงอินสแตนซ์ที่ใช้ประโยชน์ได้ของ BCBS นักพัฒนาซอฟต์แวร์ควรตรวจสอบคําแนะนําสําหรับนักพัฒนาที่ได้รับการอัปเดตสําหรับ BCBS เมื่อ https://aka.ms/sescdevguide
ในวันที่ 14 สิงหาคม 2018 มีการประกาศและกําหนด L1 Terminal Fault (L1TF) หลายรายการ ช่องโหว่ที่อาศัยผลข้างเคียงจากการดําเนินการแบบคาดการณ์ใหม่เหล่านี้สามารถใช้เพื่ออ่านเนื้อหาของหน่วยความจําทั่วทั้งขอบเขตที่เชื่อถือได้ และหากถูกนําไปใช้ประโยชน์ อาจนําไปสู่การเปิดเผยข้อมูลได้ ผู้โจมตีอาจทริกเกอร์ช่องโหว่ผ่านเวกเตอร์หลายเวกเตอร์ ขึ้นอยู่กับสภาพแวดล้อมที่กําหนดค่าไว้ L1TF มีผลต่อตัวประมวลผล Intel® Core® และตัวประมวลผล Intel® Xeon®
สําหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่นี้และมุมมองโดยละเอียดของสถานการณ์ที่ได้รับผลกระทบ รวมถึงแนวทางของ Microsoft ในการลด L1TF ให้ดูแหล่งข้อมูลต่อไปนี้:
ลูกค้าที่ใช้ตัวประมวลผล ARM รุ่น 64 บิตควรตรวจสอบกับอุปกรณ์ OEM เพื่อรับการสนับสนุนเฟิร์มแวร์ เนื่องจากการป้องกันระบบปฏิบัติการ ARM64 ที่ลด CVE-2017-5715 | การใส่เป้าหมายสาขา (Spectre, Variant 2) ต้องการการอัปเดตเฟิร์มแวร์ล่าสุดจาก OEM ของอุปกรณ์เพื่อให้มีผล
สําหรับข้อมูลเพิ่มเติม โปรดดูคําแนะนําด้านความปลอดภัยต่อไปนี้
สําหรับข้อมูลเพิ่มเติม โปรดดูคําแนะนําด้านความปลอดภัยต่อไปนี้
สามารถดูคําแนะนําเพิ่มเติมได้ใน คําแนะนําของ Windows เพื่อป้องกันช่องโหว่ที่อาศัยผลข้างเคียงจากการดําเนินการแบบคาดการณ์
สําหรับคําแนะนําของ Azure โปรดดูบทความนี้: คําแนะนําสําหรับการลดช่องโหว่ที่อาศัยผลข้างเคียงจากการดําเนินการแบบคาดการณ์ใน Azure
สําหรับข้อมูลเพิ่มเติมเกี่ยวกับการเปิดใช้งาน Retpoline โปรดดูบล็อกโพสต์ของเรา: การลด Spectre ตัวแปรที่ 2 ด้วย Retpoline บน Windows
สําหรับรายละเอียดเกี่ยวกับช่องโหว่นี้ ดูคู่มือความปลอดภัยของ Microsoft: CVE-2019-1125 | ช่องโหว่การเปิดเผยข้อมูลเคอร์เนลของ Windows
เราไม่ทราบถึงอินสแตนซ์ของช่องโหว่การเปิดเผยข้อมูลนี้ที่ส่งผลกระทบต่อโครงสร้างพื้นฐานบริการระบบคลาวด์ของเรา
ทันทีที่เราตระหนักถึงปัญหานี้ เราทํางานอย่างรวดเร็วเพื่อแก้ไขปัญหาและเผยแพร่การอัปเดต เราเชื่อเป็นอย่างยิ่งในการเป็นหุ้นส่วนที่ใกล้ชิดกับทั้งนักวิจัยและคู่ค้าในอุตสาหกรรมเพื่อทําให้ลูกค้าปลอดภัยมากขึ้นและไม่ได้เผยแพร่รายละเอียดจนถึงวันอังคารที่ 6 สิงหาคมสอดคล้องกับแนวทางการเปิดเผยช่องโหว่ที่ประสานงาน
สามารถดูคําแนะนําเพิ่มเติมได้ในคําแนะนําของ Windows เพื่อป้องกันช่องโหว่ที่อาศัยผลข้างเคียงจากการดําเนินการแบบคาดการณ์
สามารถดูคําแนะนําเพิ่มเติมได้ในคําแนะนําของ Windows เพื่อป้องกันช่องโหว่ที่อาศัยผลข้างเคียงจากการดําเนินการแบบคาดการณ์
สามารถดูคําแนะนําเพิ่มเติมได้ใน คําแนะนําสําหรับการปิดใช้งานความสามารถ Intel® Transactional Synchronization Extensions (Intel® TSX)
แหล่งอ้างอิง
เรามีข้อมูลที่ติดต่อของบริษัทอื่นเพื่อช่วยคุณค้นหาการสนับสนุนทางเทคนิค ข้อมูลที่ติดต่อนี้อาจเปลี่ยนแปลงได้โดยไม่ต้องแจ้งให้ทราบล่วงหน้า เราไม่รับรองความถูกต้องของข้อมูลที่ติดต่อของบริษัทภายนอกนี้
